我一直相信使用已有的工具是IT安全一种明智的选择，但是，仅仅是“内置”或者“免费”的技术可不意味着是企业的最佳方案。微软的Windows Server Update Services（WSUS）也不例外。我所关注的每个内部安全评估，毫无例外的，一定会有大量的（几十个甚至更多）的工作站缺少关键补丁。审计机构、监管机构和恶意软件编写者都让IT管理员们的生活变得更艰难，未打补丁的桌面是你最不想要的东西。

　　发现这些桌面漏洞，并不需要有多么精湛的黑客技能。只需要运行一个基本的空洞扫描器，像QualysGuard或是GFI LanGuard就行了。我经常发现Windows XP里的补丁在2002年就到期了。即使是目前的Windows 7也缺少补丁。但WSUS仍报告说，一切正常。

　　人们更担心的是WSUS给来自Adobe的第三方软件、Java等的平淡无奇的打补丁能力。虽然具有可扩展性，但几乎从来没用过。没有不定的第三方软件可以说是最大的桌面漏洞。根据微软2011年的安全情报报告，Java漏洞在所有漏洞中的比例由33%上升到50%。

　　处理这起有些年代的旧问题，最简单的方法是引入第三方补丁管理工具，来处理第三方应用。如果你的预算有点紧张，你可以考虑一下WSUS中的开源资源：本地更新发布工具。重要的是，不要忽略第三方补丁。

　　我还没有弄清楚为什么WSUS会错误地报道说，Windows补丁没问题，但事实并非如此。或许是管理员、厂家或者用户卸载了一些补丁，这些更改跟WSUS无关。不管，如果你使用WSUS，我敢担保你的网络现在肯定有问题。只有一种方法可以找到问题所在：在每个桌面上运行漏洞扫描器。理想情况下，你想让第一次扫描具有认证，如此，可以登录并看到所有缺失的补丁。

　　集中管理、控制和透明性对安全来说都是很重要的。就这一点而言，WSUS当然很有用处，但并不是完整的解决方案。没打补丁的桌面应加强重视。就像微软在其安全情报报告中概述的，几乎一半的病毒感染是人们错误选择的结果。你必须要保证用户的安全体验。一个容易受攻击的和未经证明的补丁进程会让用户更容易受攻击，但这不是用户自己的问题。使用安全工具控制桌面的IT商店，是失败的。

　　了解你的环境，包括潜在的桌面安全漏洞。即使WSUS报告一切正常，你也需要证实。Windows补丁漏洞无处不在。今天就开始检查并解决掉桌面补丁管理漏洞。